2008/02/06(水)水曜日ー。(“ちがう。#11!”)
[セキュリティ] * XSS Challenges - Stage #11 の答え
経由で、Stage #11 の解説をしてくれという依頼(だと思うw)を受けたので。とりあえず、まずは入力欄に「">'><s>xxx」とか入れてみる。⇒打ち消し線が出る。 HTMLタグを使ったXSSをしようと方針を決める。ダメ元で「"><script>alert(document.domain)</script>」を入れてみる。⇒「<script>」が「<xscript>」に変化。 ここでヒントを見てみる。**Hint:** "s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;"NULL をはさんでみる。「%3Csc%00ript%3E」 ⇒「<sc」で切れちゃった。答えを思いつく。 「"><img src="javascript:alert(document.domain)」 で、script の部分を他の書き方で書けば解決。 これは、“* 数値文字参照
” と “* ASCIIコード表
” を見れば書けます♪[雑談] * XSS をわかりやすく絵で説明してみる (System.Exit)
mi1kmanさん経由。 これは笑えたw でも、htmlentities は犠牲者が唱えても効果ないかもw[雑談] * 正しく機能していないことが、Windows によって認識されていません (葉っぱ日記)
笑えたw 原文は、“USB Device not Recognized. - One of the USB devices attached to this computer has malfunctioned, and Windows does not recognize it.” ですかね。 * excite翻訳
とかでも同じ翻訳結果になるようです。 (まさか・・・!w) 最後の「it」が「One of the USB devices」ではなくて、前の文全体だと思って訳すとそんな風になっちゃうのかも。(^-^;[セキュリティ] * 2007年の脆弱性公開件数、初めて前年下回る (ITmedia)
全体の件数は減少したとは言え、優先度の高い脆弱性の件数は28%増加しているとのことで、“研究者が単に、複雑で優先度の高い脆弱性の発見に力を注いでいるだけかもしれない” とのことw関連: * 2007 X-Force Report Preview - Vulnerability Trends (IBM ISS)
[雑談] * 間違い探し (TOTOROの自堕落日記)
Windows Server 2008 のボリュームラインセスが販売されるそうですw[雑談] * 彼女と少し距離をおきたいんだけど相談乗ってくれる? (ぁゃιぃNEWS 2nd)
ははは。(^-^; 中にも外にも彼女が見出せないわたしはどうしたらw[セキュリティ] * 米マイクロソフトの「MS08-001」に対処する難しさ (ITPro)
まっちゃさんの “* ホストベースだったら攻撃を確認できないし、アンチウイルスも動作しないそうです。なぜ?!?!昨今はFireWallやIPSがアンチウイルスに入っている気がするけど・・・
” な疑問には、
“先生に敬語使うのは他人行儀で失礼” ・・・こんな考え方があるとは思わなかったw[雑談] * パソコン好きが青色申告を体験してみると?: 第2回 儲けたら節税 (ITmedia)
関連: * 人気サイトがハッキング被害…中国人の犯行か(下) (朝鮮日報)
[雑談] いろいろ。
- はてなブクマ
経由で、Stage #11 の解説をしてくれという依頼(だと思うw)を受けたので。とりあえず、まずは入力欄に「">'><s>xxx」とか入れてみる。⇒打ち消し線が出る。 HTMLタグを使ったXSSをしようと方針を決める。ダメ元で「"><script>alert(document.domain)</script>」を入れてみる。⇒「<script>」が「<xscript>」に変化。 ここでヒントを見てみる。**Hint:** "s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;"NULL をはさんでみる。「%3Csc%00ript%3E」 ⇒「<sc」で切れちゃった。答えを思いつく。 「"><img src="javascript:alert(document.domain)」 で、script の部分を他の書き方で書けば解決。 これは、“* 数値文字参照
” と “* ASCIIコード表
” を見れば書けます♪[雑談] * XSS をわかりやすく絵で説明してみる (System.Exit)
mi1kmanさん経由。 これは笑えたw でも、htmlentities は犠牲者が唱えても効果ないかもw[雑談] * 正しく機能していないことが、Windows によって認識されていません (葉っぱ日記)
笑えたw 原文は、“USB Device not Recognized. - One of the USB devices attached to this computer has malfunctioned, and Windows does not recognize it.” ですかね。 * excite翻訳
とかでも同じ翻訳結果になるようです。 (まさか・・・!w) 最後の「it」が「One of the USB devices」ではなくて、前の文全体だと思って訳すとそんな風になっちゃうのかも。(^-^;[セキュリティ] * 2007年の脆弱性公開件数、初めて前年下回る (ITmedia)
全体の件数は減少したとは言え、優先度の高い脆弱性の件数は28%増加しているとのことで、“研究者が単に、複雑で優先度の高い脆弱性の発見に力を注いでいるだけかもしれない” とのことw関連: * 2007 X-Force Report Preview - Vulnerability Trends (IBM ISS)
[雑談] * 間違い探し (TOTOROの自堕落日記)
Windows Server 2008 のボリュームラインセスが販売されるそうですw[雑談] * 彼女と少し距離をおきたいんだけど相談乗ってくれる? (ぁゃιぃNEWS 2nd)
ははは。(^-^; 中にも外にも彼女が見出せないわたしはどうしたらw[セキュリティ] * 米マイクロソフトの「MS08-001」に対処する難しさ (ITPro)
まっちゃさんの “* ホストベースだったら攻撃を確認できないし、アンチウイルスも動作しないそうです。なぜ?!?!昨今はFireWallやIPSがアンチウイルスに入っている気がするけど・・・
” な疑問には、
textileこれらの問題は,TCP/IPのカーネル・レベルのぜい弱性であり,TCP/IPスタック内のかなり下位層に存在するため,ホスト・ベースで保護する製品の大半が見過ごしてしまう。ホスト製品にIPSが搭載されている場合でも,ベンダーが…フックする標準APIでは,TCP/IPのような低レベルの保護は行えない。という部分が答えかも。 あまりに低層な部分がターゲットなので防げない場合があるらしい。[雑談] * 先生に失礼で敬語なんて使えません (大学教員の日常・非日常)
“先生に敬語使うのは他人行儀で失礼” ・・・こんな考え方があるとは思わなかったw[雑談] * パソコン好きが青色申告を体験してみると?: 第2回 儲けたら節税 (ITmedia)
textile22歳、家事手伝いの娘が結婚するなら「年末は何かと忙しいから、年が明けてから式を挙げなさい」と、結婚を1カ月遅らせると63万円の控除を受けることができる。面白いw けど、ほんとにこんな目論見で日程をずらす親が居たらイヤだw[出来事] * 人気サイトがハッキング被害…中国人の犯行か(上) (朝鮮日報)
textile会員数1800万人を数える韓国最大の電子商取引サイト「オークション」は…中国人とみられる外部ハッカーの攻撃を受け、会員の住民登録番号、氏名、返金情報などの個人情報が流出したと発表した。個人情報と引き換えに金品を要求しているそうです。 会員数 1800万人ってデカッ!
関連: * 人気サイトがハッキング被害…中国人の犯行か(下) (朝鮮日報)
[雑談] いろいろ。
- 漏えい被害を限定的に抑制――オーストリアの国民ID番号 (ITPro)
- 第21回 サラリーマン川柳コンクール (第一生命)
- 凶悪改造されたスーパーマリオワールドのプレイ記録を134回分重ねたムービー (GIGAZINE)
- Many-Worlds Mario: Kaizo level 1 (YouTube)